Qu'est-ce que le chiffrement et pourquoi est-il important pour la conformite ?

Le chiffrement convertit des donnees en clair en un texte chiffre illisible a l'aide d'algorithmes mathematiques et de cles cryptographiques. Il est essentiel pour la conformite car pratiquement tous les referentiels de securite — ISO 27001, SOC 2, NIS2, DORA et RGPD — exigent le chiffrement comme controle fondamental pour proteger les donnees sensibles au repos et en transit.

Quelle est la difference entre le chiffrement symetrique et asymetrique ?

Le chiffrement symetrique utilise la meme cle pour le chiffrement et le dechiffrement (par exemple AES-256), ce qui le rend rapide et adapte aux grands volumes de donnees. Le chiffrement asymetrique utilise une paire de cles publique-privee (par exemple RSA, ECC), ideal pour l'echange de cles, les signatures numeriques et l'etablissement de canaux securises. La plupart des systemes combinent les deux : asymetrique pour l'echange de cles, symetrique pour le chiffrement des donnees.

Quelle norme de chiffrement devons-nous utiliser ?

Pour le chiffrement symetrique, AES-256 est la reference acceptee par tous les referentiels de conformite. Pour le chiffrement asymetrique, RSA-2048 ou ECC P-256 sont les minimums recommandes. Pour le hachage, SHA-256 ou SHA-3 sont les bonnes pratiques actuelles. Evitez les algorithmes obsoletes comme DES, 3DES, MD5 et SHA-1.

Quelle est la difference entre le chiffrement au repos et en transit ?

Le chiffrement au repos protege les donnees stockees — bases de donnees, systemes de fichiers, sauvegardes et archives — a l'aide de mecanismes comme le chiffrement integral du disque AES-256 ou le chiffrement transparent des donnees (TDE). Le chiffrement en transit protege les donnees circulant entre les systemes via TLS 1.2 ou 1.3 pour le trafic reseau. Les deux sont exiges par la plupart des referentiels de conformite.

Qu'est-ce que la gestion des cles et pourquoi est-elle critique ?

La gestion des cles couvre l'ensemble du cycle de vie des cles cryptographiques : generation, distribution, stockage, rotation et destruction. Une mauvaise gestion des cles compromet meme le chiffrement le plus robuste. Les cles doivent etre stockees dans des modules de securite materiels (HSM) ou des services de gestion de cles dedies, jamais a cote des donnees qu'elles protegent.

Le RGPD exige-t-il le chiffrement ?

L'article 32 du RGPD mentionne le chiffrement comme une mesure technique appropriee pour proteger les donnees personnelles. Bien que non strictement obligatoire dans tous les cas, le chiffrement constitue la meilleure defense en cas de violation de donnees — l'article 34 dispense les organisations de notifier les personnes concernees si les donnees violees etaient chiffrees avec des cles restees securisees.

Qu'est-ce que le chiffrement de bout en bout (E2EE) ?

Le chiffrement de bout en bout garantit que seules les parties communicantes peuvent lire les donnees. Meme le fournisseur de services hebergeant la communication ne peut pas les dechiffrer. L'E2EE est utilise dans les applications de messagerie, le partage de fichiers securise et les architectures a connaissance nulle. Il offre la garantie de confidentialite la plus forte mais complique le traitement et la recherche cote serveur.

A quelle frequence les cles de chiffrement doivent-elles etre renouvelees ?

La frequence de rotation des cles depend du type de cle et des exigences reglementaires. La bonne pratique consiste a renouveler les cles de chiffrement symetriques annuellement, les certificats TLS tous les 90 jours (selon les directives du CA/Browser Forum), et immediatement apres toute suspicion de compromission. La rotation automatisee des cles via un KMS reduit le risque operationnel.

Chiffrement : le guide complet pour les equipes conformite et securite

Published 8 mars 2026

By Emre Salmanoglu

Chiffrement : le guide complet pour les equipes conformite et securite

Decouvrez comment le chiffrement protege les donnees au repos, en transit et en cours d'utilisation. Couvre AES, RSA, TLS, la gestion des cles et les exigences de conformite ISO 27001, SOC 2, NIS2, DORA et RGPD.

chiffrement

protection des donnees

cryptographie

gestion des cles

conformite

Qu'est-ce que le chiffrement ?

Le chiffrement est le processus de conversion de donnees lisibles (texte en clair) en un format illisible (texte chiffre) a l'aide d'un algorithme mathematique et d'une cle cryptographique. Seules les parties autorisees disposant de la cle de dechiffrement correcte peuvent inverser le processus et acceder aux donnees originales.

Pour les equipes conformite et securite, le chiffrement n'est pas optionnel — c'est un controle fondamental exige par pratiquement tous les referentiels de securite et reglementations majeurs.

Types de chiffrement

Symetrique vs Asymetrique

Propriete	Chiffrement symetrique	Chiffrement asymetrique
Cles	Cle partagee unique	Paire de cles publique-privee
Vitesse	Rapide — adapte aux grands volumes	Plus lent — utilise pour l'echange de cles et les signatures
Algorithmes courants	AES-128, AES-256, ChaCha20	RSA-2048, RSA-4096, ECC P-256, Ed25519
Cas d'usage	Chiffrement de bases de donnees, de disques, de fichiers	Handshake TLS, signatures numeriques, e-mail PGP
Defi de distribution	La cle doit etre partagee de maniere securisee	La cle publique peut etre librement distribuee
Norme de conformite	AES-256 accepte universellement	RSA-2048 minimum pour la plupart des referentiels

Chiffrement hybride

Les systemes modernes utilisent le chiffrement hybride — le chiffrement asymetrique pour echanger une cle symetrique de maniere securisee, puis le chiffrement symetrique pour les donnees elles-memes. TLS (HTTPS) en est l'exemple le plus courant : le handshake TLS utilise RSA ou ECC pour convenir d'une cle de session AES.

Etats du chiffrement

Etat	Ce qu'il protege	Mecanismes courants	Exigence de conformite
Au repos	Donnees stockees — bases de donnees, fichiers, sauvegardes	AES-256, LUKS, BitLocker, TDE, KMS cloud	ISO 27001 A.8.24, SOC 2 CC6.1, RGPD Art. 32
En transit	Donnees circulant entre les systemes	TLS 1.2/1.3, IPsec, SSH, SFTP	ISO 27001 A.8.24, SOC 2 CC6.7, NIS2 Art. 21
En cours d'utilisation	Donnees en cours de traitement en memoire	Informatique confidentielle, Intel SGX, AMD SEV, chiffrement homomorphe	Emergent — pas encore largement impose

Chiffrement au repos

Le chiffrement au repos protege les donnees stockees sur disque, dans des bases de donnees ou dans le stockage cloud. Approches principales :

Approche	Description	Ideal pour
Chiffrement integral du disque (FDE)	Chiffre l'integralite du volume de stockage	Ordinateurs portables, postes de travail, peripheriques portables
Chiffrement au niveau des fichiers	Chiffre des fichiers ou repertoires individuels	Protection selective de fichiers sensibles
Chiffrement de base de donnees (TDE)	Chiffrement transparent des donnees au niveau du moteur de base de donnees	Donnees structurees dans des bases SQL/NoSQL
Chiffrement gere par le cloud	Le fournisseur cloud chiffre automatiquement le stockage (AWS S3, Azure Blob)	Charges de travail cloud-natives
Chiffrement au niveau applicatif	L'application chiffre les donnees avant l'ecriture en stockage	Controle maximal, protection au niveau des champs

Chiffrement en transit

Protocole	Version	Statut	Notes
TLS	1.3	Recommande	Le plus rapide, le plus securise, moins d'allers-retours
TLS	1.2	Acceptable	Encore largement utilise, configurez des suites de chiffrement robustes
TLS	1.0, 1.1	Obsolete	Doit etre desactive — vulnerabilites connues
SSL	Toutes	Desuet	Ne jamais utiliser — critiquement non securise
IPsec	IKEv2	Recommande	VPN et chiffrement au niveau reseau
SSH	v2	Requis	Administration distante et transfert de fichiers

Algorithmes cryptographiques : que choisir et qu'eviter

Categorie	Recommande	A eviter
Symetrique	AES-256-GCM, ChaCha20-Poly1305	DES, 3DES, RC4, Blowfish
Asymetrique	RSA-2048+, ECC P-256+, Ed25519	RSA-1024, DSA
Hachage	SHA-256, SHA-3, BLAKE2	MD5, SHA-1
Derivation de cles	Argon2, bcrypt, scrypt	PBKDF2 avec peu d'iterations, hachage simple
MAC	HMAC-SHA256, Poly1305	HMAC-MD5

Criteres de selection des algorithmes

Acceptation reglementaire — AES-256 et RSA-2048 sont acceptes par tous les referentiels majeurs
Exigences de performance — AES-GCM pour les charges serveur, ChaCha20 pour le mobile/IoT
Preparation post-quantique — Suivre les normes PQC du NIST (CRYSTALS-Kyber, CRYSTALS-Dilithium)
Longueur de cle — Minimum 128 bits symetrique, 2048 bits RSA, 256 bits ECC

Gestion des cles

Le chiffrement n'est aussi solide que votre gestion des cles. Une base de donnees parfaitement chiffree est inutile si les cles sont stockees en clair a cote.

Cycle de vie des cles

Phase	Bonne pratique	Erreur courante
Generation	Utiliser des generateurs de nombres aleatoires cryptographiquement securises (CSPRNG)	Utiliser des graines previsibles ou des generateurs faibles
Stockage	Stocker dans un HSM, un KMS cloud ou un coffre-fort dedie (HashiCorp Vault)	Stocker les cles dans le code source, les fichiers de configuration ou les variables d'environnement
Distribution	Utiliser des protocoles d'echange securises (TLS, Diffie-Hellman)	Envoyer les cles par e-mail ou messagerie instantanee
Rotation	Automatiser la rotation selon un calendrier et apres les incidents	Ne jamais renouveler les cles
Revocation	Revoquer immediatement les cles compromises	Revocation tardive apres une violation
Destruction	Effacement cryptographique — detruire toutes les copies de maniere securisee	Laisser les anciennes cles accessibles

Services de gestion de cles

Service	Type	Ideal pour
AWS KMS	Gere dans le cloud	Charges de travail AWS-natives
Azure Key Vault	Gere dans le cloud	Charges de travail Azure-natives
Google Cloud KMS	Gere dans le cloud	Charges de travail GCP-natives
HashiCorp Vault	Auto-heberge / SaaS	Multi-cloud, gestion des secrets
Module de securite materiel (HSM)	Materiel	Plus haut niveau d'assurance, exigences reglementaires

Exigences de conformite

Correspondance avec les referentiels

Exigence	ISO 27001	SOC 2	RGPD	NIS2	DORA
Chiffrement au repos	A.8.24	CC6.1	Art. 32	Art. 21(2)(d)	Art. 9(2)
Chiffrement en transit	A.8.24	CC6.7	Art. 32	Art. 21(2)(d)	Art. 9(2)
Gestion des cles	A.8.24	CC6.1	Art. 32	Art. 21(2)(d)	Art. 9(2)
Politique cryptographique	A.8.24	CC6.1	—	Art. 21(2)(h)	Art. 9(4)(c)
Normes algorithmiques	A.8.24	CC6.1	Considerant 83	Art. 21(2)(h)	Art. 9(4)(c)
Reponse aux incidents de compromission de cles	A.5.26	CC7.3	Art. 33-34	Art. 23	Art. 19

RGPD et chiffrement

Le RGPD offre une forte incitation a chiffrer les donnees personnelles :

Article 32 — Mentionne le chiffrement comme mesure technique appropriee
Exemption de l'article 34 — Si les donnees violees etaient chiffrees et que les cles restent securisees, vous pouvez ne pas avoir a notifier les personnes concernees
Pseudonymisation — Le chiffrement soutient les exigences de pseudonymisation du RGPD

Preuves d'audit pour le chiffrement

Type de preuve	Description	Referentiel
Document de politique de chiffrement	Politique approuvee couvrant les algorithmes, longueurs de cles et la gestion	ISO 27001, SOC 2
Procedures de gestion des cles	Cycle de vie documente pour la generation, la rotation et la destruction	Tous les referentiels
Analyses de configuration TLS	Resultats d'analyses SSL Labs ou similaires montrant TLS 1.2+	SOC 2, NIS2
Preuve de chiffrement au repos	Captures d'ecran de console cloud ou exports de configuration	Tous les referentiels
Journaux de rotation des cles	Enregistrements de rotation automatisee depuis le KMS	ISO 27001, SOC 2
Inventaire des certificats	Liste complete de tous les certificats avec dates d'expiration	NIS2, DORA
Resultats de tests d'intrusion	Tests de l'efficacite de la mise en oeuvre du chiffrement	ISO 27001, NIS2
Inventaire des algorithmes cryptographiques	Liste de tous les algorithmes utilises avec calendrier de depreciation	DORA, NIS2

Erreurs courantes

Erreur	Risque	Correction
Stocker les cles de chiffrement a cote des donnees chiffrees	Une violation expose a la fois les donnees et les cles	Utiliser un KMS externe ou un HSM
Utiliser des algorithmes obsoletes (MD5, SHA-1, DES)	Vulnerabilites connues, constats d'audit	Migrer vers AES-256, SHA-256 au minimum
Ne pas chiffrer les sauvegardes	Le vol de sauvegardes expose toutes les donnees	Appliquer la meme politique de chiffrement aux sauvegardes
Cles codees en dur dans le code source	Les cles fuient via le controle de version	Utiliser la gestion de secrets (Vault, KMS)
Absence de rotation des cles	Fenetre d'exposition prolongee si une cle est compromise	Automatiser la rotation annuelle au minimum
TLS 1.0/1.1 encore active	Non-conformite, vecteurs d'attaque connus	Desactiver et imposer TLS 1.2+
Pas d'inventaire des algorithmes cryptographiques	Impossible de prouver la conformite ou de planifier les migrations	Maintenir et revoir trimestriellement

Comment Orbiq accompagne la conformite en matiere de chiffrement

Orbiq vous aide a demontrer et gerer vos controles de chiffrement :

Collecte de preuves — Rassemblez automatiquement les preuves de configuration de chiffrement aupres des fournisseurs cloud
Modeles de politiques — Modeles de politique cryptographique pre-elabores, alignes sur ISO 27001 et SOC 2
Surveillance continue — Suivez les configurations TLS, l'expiration des certificats et l'etat du chiffrement
Trust Center — Partagez votre posture de chiffrement avec les clients et auditeurs via votre Trust Center
Preparation aux audits — Associez les controles de chiffrement aux exigences des referentiels avec des correspondances pre-elaborees

Pour aller plus loin

Certification ISO 27001 — Referentiel exigeant des controles de chiffrement
Classification des donnees — Determiner quelles donnees necessitent un chiffrement
Controle d'acces — Completer le chiffrement par des restrictions d'acces
Reponse aux incidents — Gerer les incidents de compromission de cles
Gestion de la posture de securite cloud — Surveiller les configurations de chiffrement cloud
Conformite SOC 2 — Exigences de chiffrement pour SOC 2